ГлавнаяБаза уязвимостей БДУ → BDU:2023-00038
10критическая

BDU:2023-00038 (CVE-2022-4116)

Уязвимость компонента Dev UI Config Editor Java-фреймворка quarkus, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2023-01-06
Описание

Уязвимость компонента Dev UI Config Editor Java-фреймворка quarkus связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
Red Hat build of Quarkusquarkus (до 2.13.5)quarkus (от 2.14.0 до 2.14.2)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Использование рекомендаций:
Для quarkus:
https://quarkus.io/blog/quarkus-2-14-2-final-released/
https://github.com/quarkusio/quarkus/releases/tag/2.14.2.Final
https://github.com/quarkusio/quarkus/releases/tag/2.13.5.Final

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-4116

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений;
- открытие quarkus в отдельном веб-браузере;
- использование случайного пути для пользовательского интерфейса Quarkus Dev, переместив все конечные точки, не относящиеся к приложениям, в случайный корень:
%dev.quarkus.http.non-application-root-path=<your random string>
Затем пользовательский интерфейс Dev будет доступен по следующему URL-адресу: http://localhost:8080/<your random string>/dev/.

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://quarkus.io/blog/quarkus-2-14-2-final-released/https://github.com/quarkusio/quarkus/releases/tag/2.14.2.Finalhttps://github.com/quarkusio/quarkus/releases/tag/2.13.5.Finalhttps://access.redhat.com/security/cve/CVE-2022-4116
Проверьте безопасность своего сайта и почты → Полная проверка домена